前段時(shí)間一位朋友聊到路由器/防火墻的安全策略配置，說他單位的路由器中的防火墻規(guī)則是在內(nèi)網(wǎng)到外網(wǎng)、外網(wǎng)到內(nèi)網(wǎng)兩個(gè)方向主要封堵了135、445之類的關(guān)鍵端口，其它則是默認(rèn)允許。從他給的配置規(guī)則示例看，沿用的包過濾方式，之所以如此配置，是因?yàn)樗麄兣路饬瞬辉摲獾亩丝冢斐蓡挝粌?nèi)部無(wú)法訪問互聯(lián)網(wǎng)。通過在網(wǎng)上查看他們單位路由器對(duì)應(yīng)型號(hào)的技術(shù)手冊(cè)，該路由器型號(hào)是支持狀態(tài)檢測(cè)防火墻的。如果配置成狀態(tài)檢測(cè)方式，那么按他們單位的需求，外網(wǎng)到內(nèi)網(wǎng)則可僅配置成默認(rèn)拒絕即可，能夠大幅降低外網(wǎng)對(duì)內(nèi)網(wǎng)的安全威脅。

下面我們以圖1為例，來看看包過濾與狀態(tài)檢測(cè)防火墻的主要區(qū)別在哪里。

圖1

圖中路由器/防火墻的安全策略默認(rèn)是內(nèi)網(wǎng)到外網(wǎng)、外網(wǎng)到內(nèi)網(wǎng)雙向拒絕訪問。當(dāng)內(nèi)部局域網(wǎng)中的PC1（IP地址10.1.1.1）訪問外部互聯(lián)網(wǎng)中的Web服務(wù)器（IP地址39.156.66.14，端口80）時(shí)

一、采用包過濾方式，需要在路由器/防火墻中配置如下規(guī)則：

即：

1、由內(nèi)網(wǎng)向外網(wǎng)的方向允許（PC1的）源IP地址為10.1.1.1、源端口為任意（一般是大于1024~65535之間的一個(gè)隨機(jī)端口）、協(xié)議為TCP，到（Web服務(wù)器的）目的IP地址為39.156.66.14、目的端口為80的數(shù)據(jù)包通過。

2、由外網(wǎng)向內(nèi)網(wǎng)的方向允許（Web服務(wù)器的）源IP地址為39.156.66.14、源端口為80、協(xié)議為TCP，到（PC1的）目的IP地址為310.1.1.1、目的端口為任意（事先無(wú)法客戶端分配的隨機(jī)端口）的數(shù)據(jù)包通過。

可見，包過濾防火墻需要配置由內(nèi)向外和由外向內(nèi)的兩條規(guī)則，且這兩條規(guī)則是靜態(tài)的一直起作用。另外因?yàn)镻C1訪問服務(wù)器時(shí)的端口號(hào)是隨機(jī)的，因此在由外網(wǎng)向內(nèi)網(wǎng)的方向上，允許全部目的端口通過，進(jìn)一步增加了風(fēng)險(xiǎn)。

二、采用狀態(tài)檢測(cè)方式，則僅需要在路由器/防火墻中配置由內(nèi)網(wǎng)向外網(wǎng)方向的一條規(guī)則，如下所示：

而由外網(wǎng)向內(nèi)網(wǎng)的方向不需要手工進(jìn)行配置，而是在PC1到Web服務(wù)器的數(shù)據(jù)包通過后，由防火墻動(dòng)態(tài)的建立一條臨時(shí)會(huì)話——允許Web服務(wù)器到PC1的數(shù)據(jù)包通過。當(dāng)PC1與服務(wù)器之間沒有數(shù)據(jù)通信后，該臨時(shí)會(huì)話會(huì)在定時(shí)器超時(shí)后被刪除；另外因?yàn)镻C1通過Web服務(wù)器的數(shù)據(jù)包的端口號(hào)已確定，因此在由外網(wǎng)向內(nèi)網(wǎng)的方向上，允許的目的端口號(hào)是明確的而不是全部開放，進(jìn)一步減小了風(fēng)險(xiǎn)。

因此包過濾與狀態(tài)檢測(cè)防火墻的主要區(qū)別是：

1、包過濾防火墻需要雙向靜態(tài)配置，配置后一直存在；狀態(tài)檢測(cè)防火墻僅需單向靜態(tài)配置，另外一個(gè)方向由防火墻自動(dòng)動(dòng)態(tài)建立臨時(shí)會(huì)話放行——用過后會(huì)自動(dòng)刪除。

2、包過濾防火墻，服務(wù)器到客戶端的目的端口需要全部打開；狀態(tài)檢測(cè)防火墻，服務(wù)器到客戶端的目的端口僅按需開放。

以上輸入和描述可能有疏漏、錯(cuò)誤，歡迎大家在下方評(píng)論區(qū)留言指正！

另以上文字如有幫助，望不吝轉(zhuǎn)發(fā)！

頭條主頁(yè)：https://m.toutiao.com/is/J9jM5MW/

總結(jié)

以上是生活随笔為你收集整理的包过滤与状态检测防火墙的区别浅述(包过滤防火墙与状态检测防火墙的区别)的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。